GPT-5 驅動 Aardvark 資安代理問世　自動偵測修補程式碼漏洞挑戰 Google

OpenAI 於近日發布基於 GPT-5 大型語言模型驅動的自動化資安研究代理 Aardvark，這款AI工具可嵌入軟體開發流程，持續掃描程式碼、建立威脅模型、驗證漏洞可利用性並自動生成修補程式。此舉直接挑戰 Google 本月稍早推出的 CodeMender，顯示科技巨頭將 AI 代理應用於資安領域的競爭白熱化。與此同時，OpenAI 內部正評估在 ChatGPT 引入廣告模式的可能性，反映這家估值 5000 億美元的公司在面臨營收壓力下的多線佈局。

Aardvark 技術核心：從威脅建模到自動修補

Aardvark 被 OpenAI 定位為「代理式資安研究員」（Agentic Security Researcher），目標是協助開發者與資安團隊大規模偵測並修復安全漏洞。該工具目前處於私人測試（Private Beta）階段。

OpenAI 表示，Aardvark 能持續分析原始碼儲存庫，識別漏洞、評估可利用性、排定嚴重程度優先順序，並提出針對性修補建議。系統運作方式是將自身嵌入軟體開發管線（Pipeline）中，監控程式碼的提交（Commit）與變更，偵測資安問題及其可能被利用的方式，最後運用基於 LLM 的推理能力提出修復方案。

技術架構方面，Aardvark 採用 OpenAI 於 2025 年 8 月推出的 GPT-5 模型作為核心引擎。該模型具備更深層的推理能力，並配備「即時路由器（Real-time Router）」，能根據對話類型、複雜度與使用者意圖，動態決定使用哪個模型回應。

工作流程上，Aardvark 首先分析專案的程式碼庫，產生最能代表其安全目標與設計的威脅模型（Threat Model）。建立脈絡基礎後，代理會掃描歷史紀錄以識別既有問題，同時透過檢視儲存庫的新變更來偵測新漏洞。一旦發現潛在資安缺陷，Aardvark 會嘗試在隔離的沙箱環境中觸發該漏洞，確認其可利用性後，運用 OpenAI Codex 產生修補程式供人類分析師審查。

OpenAI 表示，Aardvark 已在公司內部程式碼庫及部分外部測試合作夥伴的環境中運行，測試期間協助識別至少 10 個開源專案的 CVE（通用漏洞揭露）編號漏洞。

AI 資安工具競爭升溫：對決 Google CodeMender

Aardvark 的推出時機耐人尋味。就在本月稍早，Google 宣布推出 CodeMender，這款工具同樣專注於偵測、修補與重寫易受攻擊的程式碼，以防止未來被利用。Google 表示將與關鍵開源專案的維護者合作，整合 CodeMender 產生的修補程式。

這顯示業界已將 AI 代理視為軟體供應鏈安全的關鍵技術。對台灣資安產業而言，這波 AI 驅動的自動化漏洞偵測浪潮帶來機會與挑戰。台灣擁有強大的軟體開發能量，特別是在半導體、製造與科技服務領域。若能及早採用這類工具，將有助於提升本土軟體的安全基線。

營收壓力下的策略調整

儘管在技術創新上持續突破，OpenAI 目前面臨嚴峻的商業挑戰。根據金融時報報導，ChatGPT 擁有約 8 億使用者，但其中僅 5% 為付費用戶。更值得關注的是，OpenAI 高達 70% 的 130 億美元年營收來自付費訂閱客戶。

為提升付費轉換率，OpenAI 最近將原本鎖定開發中國家的低價 Go 方案擴展至歐洲市場，包括奧地利、捷克、丹麥、挪威、波蘭、葡萄牙、西班牙與瑞典，定價為 4 歐元、4 美元或 3.5 英鎊。

在即將上市（IPO）的壓力下，OpenAI 內部正辯論是否應在 ChatGPT 上顯示廣告。根據科技媒體 The Information 報導，OpenAI 進行的焦點小組研究顯示，部分使用者已經假設 ChatGPT 的答案是根據贊助商排名，並認為該公司販售廣告。部分員工利用這些發現倡議加入廣告功能。

從 AGI 到消費性產品：OpenAI 的「Meta 化」

更引人關注的是 OpenAI 的人員結構變化。The Information 指出，目前約有 630 名前 Meta 員工在 OpenAI 工作，佔該新創公司員工總數約 20%。這個比例顯示 OpenAI 可能正朝向「Meta 化」發展，廣告可能成為主要營收來源。

OpenAI 最初以通用人工智慧（Artificial General Intelligence）為目標，強調開發造福人類的 AI。然而，隨著商業壓力增加，公司似乎逐漸轉向消費性產品導向。這種轉變引發業界討論，當 AGI 研究機構需要面對季度營收與股東報酬時，理想與現實如何平衡？

值得一提的是，Google 也確認計劃在其新 AI 搜尋體驗中引入廣告，顯示即使是科技巨頭，也在探索如何將生成式 AI產品變現。

對台灣市場的啟示

Aardvark 的推出對台灣資安與軟體開發社群具有多重意涵。自動化漏洞偵測工具將改變傳統的安全開發生命週期，台灣軟體開發團隊若能及早整合這類工具，將可在 DevSecOps 實踐上取得優勢。

當 AI 代理能執行基礎的漏洞掃描與修補建議時，資安人才的價值將轉向更高層次的威脅分析、架構設計與風險決策。台灣需要培養能與 AI 工具協作的新世代資安專業人員。此外，雖然國際大廠的 AI 資安工具功能強大，但台灣也應思考培養本土 AI 資安技術的必要性，避免過度依賴單一供應商。

隨著 OpenAI、Google 等科技巨頭持續投入 AI 資安工具開發，可以預期未來將有更多類似產品問世。台灣資安社群應密切關注這些發展，思考如何在全球 AI 資安生態系中找到定位，同時確保關鍵系統的安全自主性。